La Banque d’État du Vietnam propose que les systèmes bancaires en ligne garantissent la sécurité du système d’information au niveau 3 ou supérieur.

La Banque d'État du Vietnam (SBV) vient d'annoncer un projet de circulaire réglementant la sécurité et la sûreté des services bancaires en ligne.

Selon ce projet, le système bancaire en ligne des banques doit être conforme aux réglementations visant à garantir la sécurité du système d'information au niveau 3 ou supérieur, à garantir la confidentialité et l'intégrité des informations des clients, ainsi qu'à garantir la disponibilité continue des services du système bancaire en ligne.

Pour les transactions clients, le système doit évaluer le niveau de risque minimal pour chaque groupe de clients, type de transaction et limite de transaction. Ensuite, il doit proposer des méthodes d'authentification appropriées aux clients. Respectez la réglementation relative à l'application de l'authentification multifacteur lors de la modification des informations d'identification client et appliquez des méthodes d'authentification pour chaque groupe de clients, type de transaction et limite de transaction conformément à la réglementation. Pour les transactions en plusieurs étapes, une mesure d'authentification minimale doit être appliquée lors de l'approbation finale.

Selon la Banque d'État du Vietnam, les systèmes bancaires en ligne doivent également être inspectés et évalués périodiquement chaque année en termes de sécurité et de confidentialité. De plus, les banques doivent identifier régulièrement les risques, en déterminer les causes et prendre rapidement des mesures pour prévenir, contrôler et gérer les risques liés à la fourniture de services bancaires en ligne.

Pour les équipements d'infrastructure technique fournis pour les services bancaires en ligne, il est nécessaire de disposer de droits d'auteur et d'une origine claire. Les banques doivent disposer d'un plan de mise à niveau et de remplacement conforme aux spécifications du fabricant, garantissant ainsi que l'équipement d'infrastructure est capable d'installer les nouvelles versions logicielles.

Les prestataires de services bancaires en ligne doivent également mettre en place un système de sécurité minimal comprenant : un pare-feu applicatif ; un pare-feu de base de données ; un système centralisé de surveillance et d'alerte en cas d'attaques ou de comportements inhabituels. De plus, les informations clients ne sont pas stockées dans la partition de connexion Internet ni dans la partition DMZ (partition intermédiaire entre le réseau interne et Internet).

Le projet exige également des prestataires de services bancaires en ligne qu'ils gèrent les vulnérabilités et les faiblesses du système par des mesures préventives, en détectant les modifications apportées au site web et à l'application. Ils doivent ensuite mettre en place un mécanisme de détection et de prévention des intrusions et des attaques réseau sur le système bancaire en ligne afin de prévenir rapidement les situations dangereuses et de sécuriser les informations.

L’analyse des vulnérabilités et des vulnérabilités du système doit être effectuée au moins une fois par an ou dès que des informations sur de nouvelles vulnérabilités et faiblesses du système sont reçues.